一种结合了点击劫持Self-XSS复制粘贴劫持的新型XSS攻击

Posted 2021-04-29 FreeBuf

XSS劫持（XSSJacking）是由Dylan Ayrey所提出的一种新型XSS攻击，可窃取受害者的敏感信息。

XSS劫持需要其他三种技术配合使用，分别是点击劫持，粘贴劫持以及Self-XSS，甚至还需要一些社会工程学的帮助，因此这种攻击只能在那些同时有存储型XSS漏洞或是CSRF漏洞漏洞的网站上执行。

XSS劫持攻击的必要条件

要构成一个XSS劫持攻击有以下几种必要条件：

1、目标网站必须有点击劫持漏洞

2、Self-XSS

3、粘贴劫持

点击劫持，是一种将受害者引向黑客所设计好的圈套的欺骗手段。

当受害者点击一个屏幕上的一个按钮时，实际上并没有点到，真正点到的是攻击者事先将不透明度调至0的目标网页。

Self-XSS(自跨站脚本攻击)是一种由受害者自己输入XSS payload触发才能成功的XSS攻击行为，这种攻击可基于DOM，或是建立在仅该用户可操作或可见的域。

知道了Self-XSS，我们大致能猜出攻击思路。但是，怎么才能让用户自己复制粘贴恶意文本呢？

复制动作是可以实现自动化的，这个过程需要用户去做的动作就是粘贴了！

这就需要用到粘贴劫持攻击了，这种攻击方式已经存在很多年，主要是在复制粘贴数据后面偷偷加恶意文本实现的。

XSS藏在”复制粘贴“背后

现在有这样一个网站，存在Self-XSS漏洞 。

下图是简化了的XSS代码，如果在这个大框中输入<script>alert(1)</script>就会弹窗。

假设你现在是一个黑客，并且你已经建了一个论坛，在注册页面设置两处常见的要求“Enter your email”栏以及”Retype your email”栏。

然后悄悄地在”Retype your email”栏放个隐藏iframe，此位置会加载另一个正常网站的设置页面表单。

当用户在你的网站上注册时，大多数人会先输入一遍邮箱，然后复制第一栏中的邮箱再粘贴到第二栏中（小编默默躺枪）。

就在这个过程中，用户剪切板中的内容已经神不知鬼不觉地被插入到那个正常网站设置页面中。

如果这家正常网站相应表单字段存在XSS漏洞，则攻击代码就能发挥作用。

受害者根本就不知道整个过程是怎么进行、何时进行的。

攻击中所利用的粘贴劫持技术，是将XSS payload粘贴到其他域名的文本栏框架。

由于这些框架的位置可以改变，并且不可见，因此可以利用点击劫持让用户觉得他还在访问他“正在”访问的那个网站。

事实上，他已经触发了Self-XSS漏洞，黑客可得到他的敏感信息。

通过XSS劫持攻击，黑客可以盗取该用户的cookie、收件箱信息、配置详情，修改配置文件设置（比如手机号、邮箱号）或是执行其他恶意操作。

结论

如今的漏洞赏金项目都将点击劫持和Self-XSS排除在外，一旦这两个漏洞同时存在，那么要在目标机器上强制执行XSS payload也不再是难事。

Dylan Ayrey表示谈到很多公司会忽略XSS相关的漏洞报告，他特别提到：

攻击者现在有越来越多创新的方法利用Self-XSS，我认为企业在收到这样的报告之后，也会开始重视这样的问题。

*参考来源：，FB小编bimeover编译，转载请注明来自Freebuf.COM